Archives de catégorie : Wordpress

Enregistrement obligatoire des blogueurs avec plus de 10 000 abonnés : ce qu’il faut savoir

Le Service fédéral de surveillance des communications, des technologies de l’information et des communications de masse (Roskomnadzor) Russe a publié le premier document officiel sur l’enregistrement des blogueurs ayant une audience de 10 000 abonnés ou plus.

Selon ce document, les blogueurs ayant une telle audience sont tenus de s’inscrire auprès de Roskomnadzor dans un registre spécial et de fournir des informations sur :

Nom complet du blogueur (propriétaire de la page personnelle).
Date de naissance.
Données de passeport ou données d’un autre document d’identification.
Adresse email.
Numéro de téléphone du contact.
Le nom du réseau social ou de la plateforme (par exemple, VKontakte, Telegram, YouTube, etc.).
Un lien vers une page personnelle ou un compte comptant plus de 10 000 abonnés.
Confirmation que le nombre d’abonnés dépasse le seuil des 10 000 personnes.
Informations sur le fournisseur d’hébergement et l’adresse IP (le cas échéant).
La nature du contenu.
Les blogueurs s’engagent également à vérifier l’exactitude des informations publiées et à ne pas enfreindre les lois de la Fédération de Russie (par exemple, les lois sur les fausses nouvelles et l’extrémisme). En cas de violation, ils s’exposent à des amendes ou à d’autres sanctions prévues par la législation de la Fédération de Russie. À son tour, Roskomnadzor a la possibilité de surveiller les informations diffusées par les principaux blogueurs pour garantir leur conformité avec les lois russes.

Statistiques

Les statistiques sur le nombre de blogueurs en Russie comptant plus de 10 000 abonnés changent constamment. Ainsi, les blogueurs comptant plus de 10 000 abonnés sont classés parmi les micro-influenceurs, qui représentent une part importante du marché. En 2022, il y avait environ 1,5 million de blogueurs en Russie avec différents niveaux d’abonnés. Parmi eux, les micro-influenceurs (10 000 à 50 000 abonnés) représentent plus de 50 %, les influenceurs intermédiaires (50 000 à 100 000 abonnés) – environ 20 %.

Les chiffres exacts changent constamment, mais le total des blogueurs avec une audience de plus de 10 000 personnes peut être estimé à des centaines de milliers uniquement sur les principales plateformes : VKontakte, Odnoklassniki, Telegram, LiveJournal, Pikabu, Pinterest, Rutube, Yandex.Zen, Twich, Discorde et Yappy. Des plateformes telles qu’Instagram et TikTok, qui sont bloquées en Russie (mais accessibles via un VPN), pourraient également tomber sous le coup de ces règles si elles opèrent officiellement en Russie.

A noter que Roskomnadzor a supprimé le document de son portail quelques heures aprés sa diffusion.

Une vulnérabilité corrigée dans le plug-in Advanced Custom Fields pour WordPress

Une faille de sécurité a été identifiée dans le plug-in Advanced Custom Fields pour WordPress, permettant l’insertion de code malveillant sur approximativement deux millions de sites web. Cela pourrait causer des préjudices aux sites eux-mêmes et à leurs utilisateurs.

Cette faille concerne spécifiquement les plug-ins Advanced Custom Fields et Advanced Custom Fields Pro, développés par Delicious Brains. Ces outils offrent aux administrateurs de sites WordPress une plus grande maîtrise sur leur contenu et leurs données.

Patchstack a révélé le 5 février qu’une attaque XSS (cross-site scripting) pouvait être menée via ces plug-ins. En termes simples, une attaque XSS consiste pour un agresseur à insérer du code, généralement dans une zone de texte sur un site web. Ce code est ensuite exécuté par le site. Bien que ce type d’attaque soit moins fréquent qu’il y a une décennie, il existe toujours des exceptions.

En exploitant cette faille, il serait possible d’exécuter du JavaScript à l’insu des visiteurs du site. Cela pourrait conduire au vol de données des visiteurs ou à la prise de contrôle du site entier, si l’utilisateur affecté est un administrateur du site.

Un correctif a été publié début avril pour résoudre ce problème. Depuis le 5 mai, Patchstack et Rafie Muhammad, le chercheur de Patchstack qui a identifié la faille, ont été autorisés à partager publiquement leurs découvertes. Pour remédier à la situation, les utilisateurs d’Advanced Custom Fields doivent mettre à jour leur version vers la 6.1.6 ou une version ultérieure. Cette vulnérabilité a été enregistrée sous le code CVE-2023-30777.

WordPress force la mise à jour en corrigeant une faille critique

Il y a quelques jours, le géant de l’Internet WordPress imposait une mise à jour d’un plugin populaire Ninja Forms. Une action salvatrice qui pose cependant question.

Le populaire plugin WordPress Ninja Forms souffrait, il y a encore quelques jours, d’une vulnérabilité critique. Une faille activement utilisée par les pirates informatiques.

Cet exploit malveillant permettait d’injecter du code arbitraire dans un site. L’espace web ainsi piégé pouvait permettre l’infiltration des machines des visiteurs, etc.

La vulnérabilité a été corrigée dans sa version 3.6.11.

Jusqu’ici, rien de bien nouveau ? Une faille et sa correction rapide.

Mais ce n’est pas la chose la plus intéressante et/ou inquiétante. Cette mise à jour forcée pour tous les utilisateurs montre aussi que WordPress aura été capable de prendre la main sur plus de 730 000 sites sans l’accord des administrateurs.

Et ce n’est pas la première fois. La faille d’un autre plugin, celui d’UpdraftPlus, avait été corrigée de la même façon avec l’injection du code corrigé sans l’accord des webmasters.

La question est de savoir maintenant s’il faut faire confiance dans un système qui, à tout moment, peut forcer des modifications et déployer du code dans des centaines de milliers de sites web de part le monde ?

A noter que j’ai repéré, dans un espace du darknet, une vente d’un 0day concernant un exploit pirate visant WordPress 5.9.0. « Cet exploit python permet l’exécution de code à distance, fonctionne avec les installations par défaut et ne devrait pas nécessiter d’authentification ou d’interaction avec l’utilisateur. » explique le pirate. Mise à prix de ce tour de passe-passe : 0.35 BTC. Un peu plus de 6 600 euros au moment de l’écriture de cet article.

Le fichier Pagat.txt dans votre site, attention danger

Plus de 45% d’augmentation, selon IBM Security, de la présence du fichier Pagat.txt dans les machines de ses clients. Le programme, une porte cachée qui permet bien des malveillances.

La force de WordPress, sa souplesse et ses nombreux plugins (options permettant d’agrémenter de services son site web). Cette force et aussi une faiblesse si vous ne mettez pas à jour votre CMS (WordPress, mais aussi Joomla! et compagnie, NDR) et les outils que vous avez pu y installer.

Au cours des mois de février en mars 2016, l’équipe IBM Managed Security Services (MSS) a découvert une augmentation de 45% de la présence d’un fichier baptisé pagat.txt dans les machines des clients.

Derrière ce faux fichier texte, une backdoor, un shell, bref une porte cachée codée en php. L’outil pirate est connu, aussi, sous le nom de C99. Une arme numérique ultra exploitée sur la toile. On trouve ce webshell sous forme d’image, de vidéo… Pagat semble être diffusé en profitant de failles dans les plugins de WordPress. Une quinzaine serait exploité à cet effet.

Rien de bien nouveau cependant, en janvier 2015, lors de l’opération pirate Anti Charlie, 80% des sites défacés (barbouillés) en France étaient le résultat de l’installation de C99 (grand frêre de Pagat) dans les serveurs des sites non sécurisés. Rien de plus simple, pour le pirate, de modifier la page index, de mettre la main sur les données privées. Cela démontre aussi que les mises à jour ne sont pas prises au sérieux par les utilisateurs. Google indique que 31 829 sites seraient touchés par cette malveillance.

Sécuriser les sites web, quelque soit le niveau du propriétaire

Un informaticien Français lance le défit d’un système capable de sécuriser les sites web, quelque soit le niveau du propriétaire, face aux malveillances numériques.

Flavien Normand, a 22 ans. Développeur, il a une dizaine de langage de programmation à son actif. Cet étudiant a commencé le développement informatique à l’âge de 15 ans, d’abord sur des émulateurs de jeu en ligne développés en Java. Trois ans plus tard, après avoir été la cible d’une tentative de fraude via un site de vente en ligne, il va se pencher sur la sécurité informatique. White Hat dans l’âme, il a très vite compris que ce n’est pas parce qu’on sait fracturer une serrure que l’on va le faire pour son propre intérêt.

Son premier projet, Whys, a été réalisé en solo au cours de ses premières années d’études à Nantes, au sein de l’IMIE. Un scanner de vulnérabilité qui regroupe plusieurs outils afin de trouver les failles sur son propre site et les corriger soi même. A noter que le code source de Whys est disponible, en open source. Bilan, ce premier essai dans la sécurité informatique l’a motivé à lancer un nouveau projet autour d’un outil de sécurité informatique qui pourra protéger les sites Internet, quelque soit le niveau du propriétaire. DataSecurityBreach a rencontré l’inventeur, interview !

DataSecurityBreach – Présentation du projet
Flavien Normand – Aujourd’hui, de plus en plus de sites web sont attaqués par deface « à l’aveugle », en utilisant des DORKS ou autre outil, les hackers attaquent des sites en trouvant directement un élément faillible dans celui-ci, et exploitent cette faille avec un script afin d’installer sur le serveur distant une pharmacie illégale, un phishing, un deface pour représenter une cause qu’ils veulent défendre ou bien simplement un ver pour utiliser la machine plus tard.

Les cibles les plus touchées dans ce type d’attaque sont les TPE, les PME et les blogs car elles n’ont pas les moyens de maintenir la sécurité sur leur site web, ou n’y allouent pas assez de temps/budget pour la plus grande partie, et les solutions de maintenance informatique disponibles aujourd’hui sont très chères. On retrouve souvent des arguments comme « mais personne ne va nous attaquer, on ne fait que…. » le soucis, c’est que personne n’a besoin de vous attaquer pour vous voler des données, mais ils peuvent simplement vous attaquer pour le « fun » ou pour préparer un DDoS en utilisant votre serveur, ou encore pour installer un phishing, etc. Vous avez sûrement déjà pu voir beaucoup d’exemples.

Le projet, pour l’instant baptisé Flawless, est présent pour résoudre ce soucis. Un scanner de vulnérabilité qui vous tiens au courant régulièrement de l’état de sécurité de votre application web, et vous averti en cas de faille, avec un service disponible pour fixer les failles trouvées.

DataSecurityBreach – Le principe de votre outil ?
Flavien Normand – Le concept du projet est simple: Sécuriser les sites web, quelque soit le niveau du propriétaire de celui-ci.

Le projet est donc un scanner de sécurité automatisé, vous inscrivez votre site, confirmez que vous êtes bien le propriétaire, puis vous réglez la fréquence des scans et leur horaire (vous pouvez par exemple demander 1 scan par semaine, le mardi à 4h du matin pour éviter tout soucis au niveau des tests les plus stressants). Une fois le scan terminé, vous recevez un email de synthèse du résultat vous expliquant si il y a des failles, avec les informations que nous avons trouvé dessus.

Si vous savez corriger la faille, ou que vous avez du personnel compétent pour trouver un fix à celle-ci, vous pouvez la fixer de votre coté, la mettre en production et demander un scan hors prévision pour vérifier que la faille est bel et bien fixée ou simplement attendre le prochain scan planifié.

Si vous ne savez pas corriger la faille, vous pouvez demander une prestation au près de notre équipe, qui se fera un plaisir de corriger et sécuriser votre application web.

DataSecurityBreach – Important de protéger les bloggueurs ?
Flavien Normand – Oui, il est important de protéger les blogueurs car ce sont les plus vulnérables. Aujourd’hui, n’importe qui peut se créer un blog sur son serveur mutualisé, il télécharge wordpress sur le site officiel, ou demande même directement un site avec wordpress installé (certains hébergeur font ça). Il installe les plugins et thèmes dont il a besoin, et ce sans connaître le développement web, pas besoin car les CMS sont présents pour cela.

6 mois plus tard, on retrouve notre petit blogueur, qui a une petite communauté sur son blog et aime partager ses articles quotidiens sur ses sujets favoris. Sauf que son fournisseur d’accès le contacte et lui bloque son site car celui-ci émet un nombre trop important de requêtes sortantes d’un coup. Il se demande ce qu’il se passe, et est bloqué car son blog est hacké, et il ne sait absolument pas comment corriger cela.

Mieux vaut prévenir que guérir ! Ce vieil adage est adapté pour le cas de la sécurité informatique, et dans notre exemple avec Mr blogueur, encore plus. En effet, flawless étant présent pour surveiller la présence de failles sur le site donné, il aurait pu prévenir notre blogueur de la faille, et simplement lui dire que son plugin d’envoi d’images était faillible, et qu’il fallait soit le mettre à jour, soit en choisir un autre (suivant les informations recueillies).

DataSecurityBreach – L’automatisation de la sécurité informatique, pas dangereux ?
Flavien Normand – J’entends par cela le fait que l’internaute se sent rassuré, donc ne met plus les mains dans son code.

Le but de l’outil n’est pas de corriger les failles à votre place, mais de les signaler. Si vous souhaitez par la suite une prestation pour fixer les failles en question, c’est un humain qui sera chargé de la tâche si celle-ci est spécifique, sinon un script sera mis à votre disposition et vous aurez simplement à le lancer, et le script, une fois terminé, se supprimera lui même, afin d’éviter toute fausse manipulation.

DataSecurityBreach – Cela vise quelle plateforme ?
Flavien Normand – L’application sera disponible sous forme d’un site web, avec une interface de gestion et un dashboard pour se tenir au courant des nouveautés, et de l’état général de son site en se basant sur les résultats des derniers scans.

DataSecurityBreach – Quel avenir pour votre projet ?
Flavien Normand – L’avenir du projet, c’est de devenir le pilier d’une startup, et de sécuriser un maximum de personnes en France et dans le monde, mais avant tout ceux qui en ont besoin et qui n’en ont pas forcément les ressources/le temps.

DataSecurityBreach – Et si votre outil est piraté ? La base de données des utilisateurs pourra permettre aux malveillants d’accéder à leurs failles ?
Flavien Normand – Avant tout, l’application est bien sûr sécurisée au maximum, mais comme il est essentiel de prévoir l’imprévu. Nos données sont donc stockées de manière à ce que même nos développeurs sont incapables de les lire, les seules entités capables de lire les données sont le serveur, et la personne qui aura développé le système de stockage (moi même).

Double authentification pour votre site web

Vous avez un site web ? En plus de votre mot de passe d’accès à votre espace d’administration utilisez la double authentification.

Après les modes d’emplois pour mettre en place la double authentification pour Youtube, gMail, Amazon, DropBox, Facebook, DataSecurityBreach.fr vous propose la même sécurité dédiée à votre site Internet. Ce mode d’emploi est à destination des utilisateurs de WordPress.

La validation en deux étapes contribue à protéger le compte d’un utilisateur contre les accès non autorisés au cas où un tiers parviendrait à obtenir son mot de passe. Même si une personne malveillante parvient à décrypter, deviner ou dérober un mot de passe, elle ne peut se connecter si elle ne dispose pas des informations de validation supplémentaires de l’utilisateur. Ces dernières se présentent sous la forme de codes que seul l’utilisateur peut obtenir via son mobile ou via une signature chiffrée contenue dans une clé de sécurité.

Mode d’emploi double authentification WordPress

Commençons par la base, télécharger l’application qu’il faudra installer dans votre smartphone. Plusieurs choix possibles : Google Authenticator ; Authy ; encore FreeOTP ou encore Duo Mobile Authentication. Ensuite, installer sur votre site Internet l’application dédiée. Une fois c’est deux actions réalisées, direction l’espace « utilisateurs » de votre espace web. Sélectionnez votre identité. Dans cette partie, apparait un espace baptisé « Code secret ».

Cliquez, soit sur « créer nouveau code secret » ou « Montrer le QR Code« . Il vous suffit de lancer l’application mobile. Ensuite, sélectionner le menu, en haut à droite du logiciel. De choisir « configurer un compte« . Plusieurs choix : de viser le QR Code avec votre ordiphone (le plus simple). Rentrer le code secret, la clé fournie, généré par l’application dans votre site web. Dorénavant, une seconde entrée de mot de passe apparaît dans votre ouverture d’administration. Il suffira d’y insérer le code fourni par votre téléphone portable.

Des hébergeur tels que OVH propose aussi la double authentification.

Double authentification pour Facebook

Le site communautaire Facebook propose la double authentification. A utiliser sans modération !

Après les modes d’emplois pour mettre en place la double authentification pour Youtube, Google, Amazon, DropBox, voici venir la sécurité dédiée pour Facebook. La double authentification permet de créé un second mot de passe via votre téléphone portable, valable quelques secondes, en plus de votre identifiant de connexion de base. Bilan, si votre mot de passe est subtilisé, le pirate ne pourra pas l’utiliser. Il faut les deux identifiants pour accéder à votre compte.

Mode d’emploi double authentification Facebook

D’abord, connectez-vous à votre compte Facebook. Dans la partie « Paramètres« , option cachée dans le petit menu, en haut à droite, sur la droite du petit cadenas, cliquez sur « Générateur de code« . Votre téléphone vous fournira, via l’application Facebook, un second code à rentrer, en plus de votre mot de passe, lors de toutes connexions via un ordinateur ou appareil non connu. Par exemple, pour les joueurs et utilisateurs de PS4, Xbox One… Facebook vous communiquera un code, par SMS.

Il est possible d’utiliser l’application Authenticator de Google pour générer le précieux second mot de passe. Un code qui change toutes les 30 secondes. A noter que des sociétés Françaises telles que Gandi ou encore OVH utilisent aussi la double authentification pour protéger leurs clients.

Double authentification pour Amazon

Le site de vente en ligne Amazon propose une nouvelle sécurité, la double authentification. Explication !

Comme DataSecurityBreach.fr a déjà pu vous le proposer pour DropBox, gMail, Facebook, Youtube… la sécurité par double authentification est devenue une obligation aujourd’hui. « L’attaque est le secret de la défense, la défense permet de planifier une attaque. » comme le dit l’adage. La double authentification permet de créé un second mot de passe via votre téléphone portable, valable quelques secondes, en plus de votre identifiant de connexion de base. Bilan, si votre mot de passe est subtilisé, le pirate ne pourra pas l’utiliser. Il faut les deux identifiants pour accéder à votre compte. Amazon vient de rentrer dans cette grande famille. DataSecurityBreach.fr vous conseille fortement de l’utiliser.

Mode d’emploi double authentification Amazon

D’abord, connectez-vous à votre compte Amazon. Ensuite, dans « Your Account« , dirigez-vous vers les options de modification de votre compte « Change Account Settings« . Choisissez ensuite « Advanced Security Settings« . C’est dans cette option qu’il va vous être possible de créer la double authentification Amazon. Intéressant, Amazon propose deux sécurités. D’abord par le logiciel Authenticator, et par SMS. Bilan, dès que vous souhaitez vous connecter, Amazon vous contactera par l’un de ces deux moyens.

A noter qu’il est possible d’utiliser cette double authentification pour votre blog, site Internet, Steam, Cloudflare, Gandi ou encore OVH.

Un faux site de l’Electronic Frontier Foundation diffuse des malwares

Un site Internet usurpant l’image de l’Electronic Frontier Foundation bloqué par Google. Il diffusait des logiciels malveillants.

L’Electronic Frontier Foundation est une fondation en charge de la préservation de la vie privée dans le monde numérique. L’EFF vient d’être aidé par Google à faire disparaitre un site Internet usurpant son nom et son image. Le nom de domaine electronicfrontierfoundation.org a été ouvert le 4 août dernier. Il diffusait des logiciels malveillants via de fausses publicités et mises à jour.

Les codes malveillants font partie de la famille de Pawn Storm, une attaque découverte par Trend Micro, en 2014. Les pirates, derrière Pawn, seraient des russes et agiraient sur la toile depuis 2007. L’une des failles, un 0day Oracle. Certains chercheurs en cyber-sécurité ont noté que les attaques de Pawn Storm utilisent des malwares personnalisés et ont des objectifs qui sont étonnamment semblables aux attaques Sednit et Sofacy, d’autres campagnes de diffusion de logiciels malveillants. Des attaques initiées par le groupe Advanced Persistent Threat 28 (APT28). Selon l’américain FireEye, APT28 serait liée au gouvernement russe. L’adresse electronicfrontierfoundation.org redirige dorénavant vers la véritable adresse de l’EFF : eff.org.

État des lieux de l’Internet du 2ème trimestre 2015

Akamai Technologies, Inc., leader mondial des services de réseau de diffusion de contenu (CDN), annonce la disponibilité de son rapport de sécurité « État les lieux de l’Internet » du 2ème trimestre 2015. Il livre une analyse et un éclairage sur les cyber-menaces qui pèsent sur la sécurité cloud à l’échelle mondiale.

« La menace des attaques par déni de service distribué (DDoS) et applicatives web ne cesse de s’intensifier chaque trimestre », précise John Summers, vice-président, Cloud Security Business Unit d’Akamai. « Les acteurs malveillants brouillent perpétuellement la donne en changeant de tactique, en dénichant de nouvelles vulnérabilités, voire en remettant au goût du jour des techniques considérées comme obsolètes. En analysant les attaques observées sur nos réseaux, nous sommes en mesure d’inventorier les menaces et tendances naissantes et de communiquer au public les informations indispensables à la consolidation de leurs réseaux, sites web et applications, et à l’amélioration de leurs profils de sécurité cloud. »

Dans ce rapport sont analysés deux vecteurs d’attaques applicatives web supplémentaires, mais aussi examiné les menaces représentées par le trafic TOR (routage en oignon) et même mis au jour certaines vulnérabilités dans des modules externes WordPress tiers, en cours de publication dans le dictionnaire CVE », ajoute-t-il. « Plus les menaces de cybersécurité sont documentées, mieux la défense d’une entreprise peut être opérée.

Panorama de l’activité des attaques DDoS
Sur les trois derniers trimestres, il apparaît que le nombre d’attaques DDoS double d’une année sur l’autre. Si, au cours de ce trimestre, les pirates ont privilégié les attaques de moindre débit mais de plus longue durée, toujours est-il que le nombre de méga-attaques ne cesse de croître. Au 2ème trimestre 2015, 12 attaques à un débit supérieur à 100 Gb/s ont été recensées et 5 autres culminant à plus de 50 Mp/s (millions de paquets par seconde). Très peu d’entreprises sont capables de résister par elles-mêmes à des attaques de cette ampleur.

L’attaque DDoS la plus massive au 2ème trimestre 2015, mesurée à plus de 240 Gb/s, a duré plus de 13 heures. Le débit crête est généralement limité à une fenêtre d’une à deux heures. Sur cette même période, l’une des attaques présentant le débit de paquets le plus élevé jamais encore enregistré sur le réseau Prolexic Routed a également été déclenchée (à un pic de 214 Mp/s). Ce volume d’attaques est capable de paralyser des routeurs de niveau 1 comme ceux utilisés par les fournisseurs d’accès Internet.

L’activité des attaques DDoS a établi un nouveau record au 2ème trimestre 2015, en hausse de 132 % à trimestre comparable un an auparavant, et de 7 % par rapport au 1er trimestre 2015. Si le débit crête et le volume maximal moyens des attaques ont légèrement progressé au 2ème trimestre 2015 comparativement au trimestre précédent, ils demeurent nettement en-deçà des valeurs maximales relevées au deuxième trimestre 2014.

SYN et SSDP (Simple Service Discovery Protocol) sont les vecteurs les plus couramment utilisés ce trimestre, chacun d’eux représentant approximativement 16 % du trafic d’attaques DDoS. Eu égard à la prolifération d’équipements électroniques de loisirs non sécurisés, connectés à Internet via le protocole UPuP (Universal Plug & Play), leur utilisation comme réflecteurs SSDP demeure attrayante. Quasiment inexistant il y a encore un an, le SSDP s’est imposé comme l’un des principaux vecteurs d’attaques ces trois derniers trimestres. Quant à la technique par saturation de type « SYN flood », elle continue à dominer les attaques volumétriques et ce, depuis la première édition du rapport de sécurité parue au troisième trimestre 2011.

Le secteur des jeux en ligne demeure une cible privilégiée depuis le 2ème trimestre 2014, systématiquement visé par environ 35 % des attaques DDoS. Au cours des deux derniers trimestres, la majorité du trafic d’attaques ne provenant pas d’adresses usurpées a continué à émaner de la Chine, pays qui figure dans le trio de tête depuis la parution du premier rapport au troisième trimestre 2011.

Activité des attaques applicatives web
Des statistiques sur les attaques applicatives web ont commencé à être publiées par Akamai au premier trimestre 2015. Ce trimestre, deux autres vecteurs d’attaques ont été analysés : les failles Shellshock et XSS (cross-site scripting).

Shellshock, vulnérabilité logicielle présente dans Bash mise au jour en septembre 2014, a été exploitée dans 49 % des attaques applicatives web ce trimestre. En réalité, 95 % des attaques Shellshock ont visé un seul client appartenant au secteur des services financiers, dans le cadre d’une campagne qui a duré plusieurs semaines en début de trimestre. Généralement menée sur HTTPS, cette campagne a rééquilibré l’utilisation des protocoles HTTPS et HTTP. Au premier trimestre 2015 en effet, seulement 9 % des attaques avaient été dirigées sur HTTPS, contre 56 % ce trimestre.

Par ailleurs, les attaques par injection SQL (SQLi) représentent 26 % de l’ensemble des attaques, soit une progression de plus de 75% des alertes de ce type rien qu’au deuxième trimestre. À l’inverse, les attaques de type LFI (inclusion de fichier local) s’inscrivent en net recul. Principal vecteur d’attaques applicatives web au premier trimestre 2015, LFI n’est plus à l’origine que de 18 % des alertes au deuxième trimestre 2015. L’inclusion de fichier distant (RFI), l’injection PHP (PHPi), l’injection de commandes (CMDi), l’injection OGNL Java (JAVAi) et le chargement de fichier malveillant (MFU) comptent, pour leur part, pour 7 % des attaques applicatives web.

Comme au premier trimestre 2015, ce sont les secteurs des services financiers et du commerce et de la grande distribution qui ont été les plus fréquemment touchés par les attaques.

La menace des modules externes et thèmes WordPress tiers
WordPress, plate-forme la plus en vogue dans le monde pour la création de sites web et de blogues, est une cible de choix pour des pirates qui s’attachent à exploiter des centaines de vulnérabilités connues pour créer des botnets, disséminer des logiciels malveillants et lancer des campagnes DDoS.

Le code des modules externes tiers est très peu, voire nullement, contrôlé. Afin de mieux cerner les menaces, Akamai a testé plus de 1 300 modules externes et thèmes parmi les plus répandus. Résultat : 25 d’entre eux présentaient au moins une vulnérabilité nouvelle. Dans certains cas, ils en comprenaient même plusieurs puisque 49 exploits potentiels ont été relevés au total. Une liste exhaustive des vulnérabilités mises au jour figure dans le rapport, accompagnée de recommandations pour sécuriser les installations WordPress.

Les forces et les faiblesses de TOR
Le projet TOR (The Onion Router, pour « routage en oignon ») fait en sorte que le nœud d’entrée ne soit pas identique au nœud de sortie, garantissant ainsi l’anonymat des utilisateurs. Bien que nombre des utilisations de TOR soient légitimes, son anonymat présente de l’intérêt pour les acteurs malveillants. Pour évaluer les risques liés à l’autorisation de trafic TOR à destination de sites web, Akamai a analysé ce trafic web à l’échelle de sa base de clients Kona sur une période de sept jours.

L’analyse a révélé que 99 % des attaques émanaient d’adresses IP non-TOR. Néanmoins, une requête sur 380 issues de nœuds de sortie TOR était malveillante, contre une sur 11 500 seulement en provenance d’adresses IP non-TOR. Ceci dit, le blocage de trafic TOR pourrait se révéler préjudiciable sur le plan économique. Toutefois, les requêtes HTTP légitimes vers les pages d’e-commerce correspondantes font état de taux de conversion équivalents entre nœuds de sortie TOR et adresses IP non-TOR. Le rapport.

Possibilité de piratage via WordPress 4.2

Voilà une attaque informatique possible qui tombe en pleine période de vacances et autres ponts de ce début mai. Une faille permet de jouer de bien mauvaise façon avec les sites sous WordPress 4.2.

WordPress vient de combler une nouvelle faille. Cette dernière touche la nouvelle monture de ce CMS en version 4.2. Bilan, il est plus que conseillé de mettre à jour votre outil web (Laissez WP se mettre à jour automatiquement, NDR). Cette fois, l’exploit permettait de modifier le mot de passe de l’administrateur du site. Autant dire que cela fait désordre. La faille permettait aussi de créer des comptes avec les droits administrateur, de modifier ensuite les contenus du site. Vérifiez bien, d’ailleurs, qu’aucun pirate ne se soit amusé à installer une application malveillante dans vos pages.

Via un XSS et un bourrage d’informatique à la sauce Buffer Overflow (BoF), il était possible d’exécuter un code malveillant à partir de l’espace commentaire d’un WordPress. Jouko Pynnönen, qui a révélé la chose, indique que la faille touche WordPress 4.2, 4.1.2, 4.1.1, 3.9.3. et MySQL 5.1.53 et 5.5.41.

Plusieurs média français piratés

France 3, Le Monde, RCF… plusieurs médias français dans la ligne de mire des pirates informatiques de l’opération Anti #CharlieHebdo. Étonnant, des frères ennemis s’allient pour une même cause.

L’Armée Électronique Syrienne ressort de sa cachette 2.0 en s’attaquant au journal Le Monde. Les pirates, pro Bachar-Al-Assad, via une technique qu’ils exploitent avec, malheureusement, efficacité. Parmi les victimes, la sécurité du journal Le Monde. Le CMS de la rédaction, mais aussi le Twitter ont été manipulés. Un courriel piégé aurait permis à la SEA de prendre la main sur le quotidien français. La SEA a indiqué, dans plusieurs Tweets «Je ne suis pas Charlie» ainsi qu’un rappel sur les bombardements en Syrie. Étonnant, les pirates de l’opération anti #charliehebdo ne sont pourtant pas des pro Bachar-Al-Assad. La SEA a déjà piraté Forbes, eBay, le FC Barcelone, Reuters ou encore The Sun.

Du côté des pirates ayant lancé une opération contre le web français, trois nouveaux groupes viennent d’apparaitre. ZATAZ.COM en a recensé plus d’une trentaine. Les nouveaux se sont attaqués à plusieurs sites appartenant aux groupes France Télévision avec des espaces basés en Outre-mer ou encore  les sites Internet régionaux de France 3. Une attaque qui a du obliger France Télévision a fermer les possibilités de diffuser le moindre article sur ses sites.

Pendant ce temps…
… La Fédération de Tennis vient de déposer plainte après le piratage d’un millier de site de club que la FFT hébergeait. : « Un large éventail de sites des comités et clubs a fait l’objet d’usurpation par des individus qui les utilisent comme vitrine de leurs revendications. Il n’échappera à personne le lien avec les événements tragiques de ces derniers jours. » indique un courriel diffusé aux présidents de club. Étonnant, le groupe montré du doigt, les Fellaga Anonymous n’ont pas revendiqué cette attaque.

Les attaques visant les applications Web se multiplient

Applications de vente en ligne, sites hébergeant des données de consommateurs ainsi que WordPress sont aujourd’hui les principales cibles de ce type d’attaque.

Imperva, spécialiste en solutions de sécurité informatique, a publié les résultats de sa cinquième enquête annuelle consacrée aux attaques visant les applications Web (Webannuel Report Application Attack : WAAR). Réalisé par l’Application Defense Center(ADC), la cellule de recherche d’Imperva, ce rapport analyse un échantillon de 99 applications protégées par le pare-feu applicatif Web d’Imperva(WAF) sur une période de neuf mois (du 1er Août 2013 au 30 Avril 2014). Les principaux enseignements de cette édition font état d’une augmentation significative du trafic malveillant (dont on notait déjà l’explosion dans le précédent rapport), ils révèlent que les applications de vente en ligne sont les plus sensibles pour ce type d’attaque et que WordPress est l’application la plus attaquée. Enfin, les États-Unis se distinguent comme le pays d’origine de la majorité du trafic des attaques d’applications Web dans le monde.

Ce cinquième rapport témoigne d’une augmentation de 10% des attaques par SQL injection (SQLI), ainsi que d’une hausse de 24% des attaques par inclusion de fichier à distance (RFI). L’équipe de recherche de l’ADC a de plus constaté que la durée des attaques s’est considérablement prolongée ; Leur durée s’est en effet allongée de 44% par rapport au précédent rapport WAAR.

48,1% des campagnes d’attaque visent les applications de vente en ligne, suivie par les institutions financières qui représentent 10% des attaques.     Les sites conçus sous WordPress ont subit 24,1% d’attaques en plus que les sites Web qui utilisent d’autres systèmes de gestion de contenu (CMS), on observe également que WordPress souffre davantage (60% de plus) d’incidents de Cross Site Scripting (XSS) que les autres sites. Les applications PHP subissent trois fois plus d’attaques XSS que les applications .NET. Les sites Web qui ont une fonctionnalité « log-in », et qui contiennent par conséquent des données spécifiques aux consommateurs, représentent 59% de toutes les attaques, et 63% des injections SQL.

« Après des années à analyser les attaques de données ainsi que leurs origines, le rapport de cette année indique que les hackers quelque soient leur pays d’origine hébergent leurs attaques aux Etats-Unis afin d’être géographiquement plus proche de leurs cibles. Cela explique pourquoi les États-Unis génèrent la majorité du trafic mondial des attaques d’applications web », indique Amichai Shulman, Directeur de la technologie chez Imperva à Datasecuritybreach.fr. « En regardant de plus près d’autres sources d’attaques, nous nous sommes aperçus que les infrastructures-as-a-Service (IaaS) étaient de plus en plus utilisées par les hackers. Pour exemple, 20% des tentatives d’exploitation de vulnérabilités connues proviennent d’ Amazon Web Services. Mais ce n’est pas le seul; car le phénomène se développe et les autres fournisseurs de ce type d’infrastructures (IaaS) doivent être particulièrement vigilants quant à la compromission de leurs serveurs. Les hackers ne sont pas sélectifs quand il s’agit d’atteindre un Data Center ».

Faille pour le plugin WPtouch

Des chercheurs de chez Securir, qui avaient déjà mis la main sur plusieurs autres failles visant des applications WordPress, viennent de tirer la sonnette d’alarme à l’intention des administrateurs de sites web sous WordPress, et plus précisément aux utilisateurs du plugin WPTouch.

Cette application permet aux sites web de proposer une version pour mobile. La faille permet à n’importe quel internaute inscrit et enregistré sur le WordPress faillible d’injecter une backdoor, un shell, qui permet ensuite de manipuler le site et le serveur (selon les autorisations, NDLR) au bon vouloir du pirate. Sur les 73 millions de sites web sous WordPress dans le monde, 5,7 millions utilisent WPtouch. Autant dire un sacré vivier pour les pirates. Securir indique qu’une mise à jour du Plugin est plus que conseillé.

PlugIn de sécurité pour WordPress

Kévin FALCOZ, alias 0pc0deFR, chercheur français en sécurité informatique propose un outil fort intéressant permettant de tester la sécurité des plugins WordPress que DataSecuritybreach.fr vous conseille fortement. L’outil disponible sous le repository Bulk Tools permet actuellement de chercher des vulnérabilités de type SQL ou CSRF. Un outil d’audit ingénieux. « Je travaille dessus, souligne à la rédaction de Data Security Breach 0pc0deFR. Je vais le rendre encore plus puissant dans le but de détecter plus de vulnérabilités ». Bref, un excellent projet qui mérite d’être suivi et encouragé. A noter quelques règles Yara, pour les amateurs d’analyses de malwares.

Volkswagen France piraté pour piéger les utilisateurs de Skype et iTunes

Le piratage informatique d’un site web cache très souvent des actions biens plus malveillantes qu’un simple barbouillage. Pour preuve, le cas vécu, ce jeudi, par le site Internet du groupe Volkswagen France. Datasecuritybreach.fr et ZATAZ.COM ont pu constater qu’un pirate informatique avait réussi à s’inviter dans le serveur de la marque automobile Allemande afin d’y cacher une redirection malveillante vers une fausse page d’administration à Skype.

Au moment de l’écriture de cet article, l’adresse volkswagengroup.fr/ (…) /connect.html renvoyait les internautes sur le site usurpateur skype-france.fr. Plus grave encore, le pirate a aussi caché une fausse page iTunes Connect dans le serveur de la filiale française du constructeur automobile.

Le voleur a lancé son hameçonnage Skype (comme pour iTunes) via un courriel électronique contenant ce type de message (exemple pour skype, ndlr datasecuritybreach.fr) « Chère/Cher client Nous vous informons que votre compte Skype arrive a l’expiration dans moins de 48H. Cliquez simplement sur le lien suivant et ouvrez une session a l’aide de votre Skype ID et Mot de passe. Vérifiez maintenant. Cordialement L’assistance a la clientèle Skype 2013« .

Près de 1.000.000 de WordPress en danger

Un plugin pour WordPress dangereux. Il permet de diffuser des messages non sollicités à partir de 935.000 WordPress ainsi piégés. Si vous utilisez le plugin « widget Media social » dans votre WordPress, un conseil de datasecuritybreach.fr, effacez-le de votre site. Sucuri, expert en sécurité informatique a découvert que le plugin était utilisé pour injecter des messages non sollicités sur votre site. L’outil, qui se veut être un allier dans votre communication sur les réseaux sociaux et aussi, et avant tout, un piége.

Avec plus de 935.000 téléchargements, le plugin a de quoi faire de gros dégâts. Dans le code source de l’application, un url caché, qui est diffusé dans de faux messages. L’intérêt du pirate, faire référencer dans un maximum de sites, donc ensuite sur Google, son espace malveillant. L’url caché a pour mission d’injecter « PayDay Loan » et de renvoyer les lecteurs des WordPress sur le site paydaypam.co.uk, un site de prêt d’argent.

Le code malveillant a été ajouté dans la dernière version du plugin, SMW 4.0. Les utilisateurs sont vivement invités par Datasecuritybreach.fr à retirer le plug-in de leur site. Le plugin a été supprimé du WordPress Plugin.